Un español se ha convertido en uno de los fugitivos más buscados por la Europol tras dictarse una orden internacional de detención por su presunta implicación en delitos de ciberterrorismo. Su nombre es Enrique Arias Gil, tiene 37 años y es profesor universitario.
Según la Audiencia Nacional, habría colaborado activamente con la red de hackers prorrusos NoName057, implicándose en campañas contra infraestructuras críticas del Estado y promoviendo propaganda favorable al régimen de Vladimir Putin.
El juez Francisco de Jorge, titular del Juzgado Central número 1 de la Audiencia Nacional, dictó una orden internacional de detención contra Arias Gil por delitos de sabotaje con finalidad terrorista. Las investigaciones de la Policía Nacional le vinculan con ataques informáticos dirigidos a instituciones del Estado, entre ellos la caída puntual de la web del Ministerio del Interior durante las elecciones generales de 2023, así como asaltos coordinados a páginas del Gobierno central, la Casa Real o el transporte público de Madrid.
Las autoridades españolas atribuyen a Arias Gil un papel central como facilitador, seleccionador de objetivos y difusor de propaganda prorrusa, trabajando desde el anonimato digital bajo el alias "Desinformador Ruso", en un canal de la red social Telegram, todavía activo y con casi 12.000 suscriptores. Desde este canal, se alentaron ataques informáticos, se publicaron listas de objetivos y se celebraron acciones del colectivo NoName057 contra intereses españoles y europeos.
Protegido por el Kremlin
Según la Policía, Arias Gil huyó de España en 2024 y se cree que se encuentra en Rusia, protegido por el entorno del Kremlin, como otros hacktivistas vinculados al colectivo. No consta arraigo familiar en ese país, aunque sí una fuerte afinidad ideológica. Estudió ruso gracias a una beca de Casa Rusa y ha publicado libros como Los actores individuales: un fenómeno terrorista emergente y Aceleracionismo y extrema derecha, donde aborda estrategias y tácticas relacionadas con la violencia política.
El canal gestionado por Arias difundía contenido ideológicamente alineado con la narrativa del Gobierno ruso, incluyendo desinformación, amenazas a periodistas y publicaciones con objetivos señalados para ciberataques, como puertos marítimos, oficinas gubernamentales y medios de comunicación. En una de sus publicaciones de marzo de 2024, firmó como "Borya" y presentó el canal como un espacio para "noticias que el sistema no quiere que sepas" y propaganda rusa subtitulada.
Red de ataques organizada desde Telegram
La inclusión de Arias en la lista de los "Most Wanted" de Europol se enmarca en la operación internacional Eastwood, coordinada por Europol y Eurojust entre el 14 y 17 de julio, con la participación de 13 países. En el marco de esta operación se identificó que NoName057 opera con una estructura distribuida, compuesta por cientos de sistemas informáticos y voluntarios —los llamados "minions"— que colaboran mediante redes sociales y aplicaciones de mensajería como Telegram.
Este grupo de hackers, fundado en 2022, es responsable de más de 500 ataques en España, y ha llevado a cabo ofensivas digitales en Alemania, Suiza, Países Bajos y Suecia. En concreto, el colectivo fue vinculado a 14 oleadas de ciberataques contra más de 250 empresas e instituciones alemanas entre 2023 y 2024, así como ataques durante la Cumbre de Paz para Ucrania en Suiza o la última cumbre de la OTAN en los Países Bajos.
Las autoridades consideran estas acciones como parte de una estrategia de guerra híbrida del Kremlin, que busca debilitar la cohesión institucional europea a través de acciones de bajo coste y alto impacto mediático. El objetivo no es solo técnico, sino psicológico: socavar la confianza en las instituciones mediante la propagación de desinformación y el sabotaje digital.
Difusión, amenazas y selección de objetivos
Además de difundir contenido prorruso, Arias Gil habría tenido un papel activo en la recopilación de información personal sobre empleados públicos y cuerpos de seguridad, con el fin de facilitar ciberataques. También se le atribuye la publicación de mensajes intimidatorios, como las amenazas dirigidas al canal de televisión La Sexta o la exposición de datos personales de trabajadores de una empresa médica.
La actividad de NoName057 en España alcanzó su punto álgido durante las elecciones generales de 2023, cuando intentaron bloquear el acceso a la web del Ministerio del Interior. Durante ese mismo periodo, otras páginas gubernamentales como las de La Moncloa, la Junta Electoral Central, el INE, Renfe o el Consorcio de Transportes de Madrid también sufrieron denegaciones de servicio (DDoS) que afectaron a su funcionamiento habitual.